image

Intel-systemen zonder AMT-support mogelijk ook kwetsbaar

donderdag 4 mei 2017, 13:16 door Redactie, 15 reacties

Deze week werd er een ernstig beveiligingslek in de zakelijke processors van Intel onthuld, maar het bedrijf dat de kwetsbaarheid ontdekte stelt dat Intel-systemen zonder Active Management Technology (AMT) support mogelijk ook aangevallen kunnen worden.

Intel AMT is een feature van Intel-processoren met Intel vPro-technologie en maakt het mogelijk om systemen op afstand te beheren. Onderzoeker Maksim Malyutin van beveiligingsbedrijf Embedi ontdekte halverwege februari in probleem in deze technologie. Intel werd vervolgens op 3 maart ingelicht. Via de kwetsbaarheid kan een aanvaller toegang tot AMT-diensten krijgen, zoals het toetsenbord, video en muis, bios-instellingen en andere zaken.

In een korte blogposting over het beveiligingslek gaan de onderzoekers in op verschillende misvattingen die in de media verschenen. Zo is de kwetsbaarheid pas sinds 2010-2011 in Intel-processors aanwezig, en niet sinds 2008 zoals eerst werd gerapporteerd. Daarnaast bestempelen de onderzoekers het lek niet als een mogelijkheid om willekeurige code op systemen uit te voeren, maar als een "logische fout".

Specifieke details over het probleem wil Embedi echter nog niet geven. Een ander opvallend punt in de blogpost is dat het bedrijf laat weten dat er ook een kans is dat Intel-systemen zonder AMT-support kunnen worden aangevallen. Ook in een interview met Threatpost laat Embedi-cto Dmitry Evdokimov dit weten, maar gaat hier verder niet op in. Intel heeft updates voor de kwetsbaarheid uitgebracht. Het is nu aan fabrikanten om voor hun systemen en moederborden updates uit te rollen.

De AMT-diensten zijn via poort 16992 en 16993 bereikbaar. Hoewel Intel het lek deze week pas bekendmaakte, blijkt er al sinds vorige maand een stijging van het aantal poortscans op deze poorten te zijn. Evdokimov zegt hier niet op te kunnen reageren, maar stelt dat het mogelijk toeval is.

Reacties (15)
04-05-2017, 13:55 door Anoniem
Ik heb deze poorten op de firewall op mijn router al dicht gezet.

https://software.intel.com/en-us/documentation/amt-reference/manageability-ports
04-05-2017, 15:21 door Anoniem
zit intels amt nou op de processor of in de chipset op het moederbord?
andere artikelen spreken namelijk over de north bridge...
bron: http://hackaday.com/2016/11/28/neutralizing-intels-management-engine/

~dodo
04-05-2017, 15:26 door Anoniem
Door Anoniem: Ik heb deze poorten op de firewall op mijn router al dicht gezet.

https://software.intel.com/en-us/documentation/amt-reference/manageability-ports
Ah, want je had die poorten eerst geforward naar een systeem met Intel processor?
04-05-2017, 16:28 door Anoniem
Nee hij was erover aan het bittorenten...
04-05-2017, 16:51 door Anoniem
Komt de update die dit lek dicht gewoon via Windows Update binnen of moet dat handmatig gedaan worden?
Kun je AMT verwijderen of deactiveren zonder verdere gevolgen of moet je het dan later opnieuw installeren?
Ik begrijp het allemaal niet.
Hoe moet je nu weten wat te doen als je weinig verstand van computers hebt?
04-05-2017, 18:12 door Anoniem
Door Anoniem: Komt de update die dit lek dicht gewoon via Windows Update binnen of moet dat handmatig gedaan worden?
Kun je AMT verwijderen of deactiveren zonder verdere gevolgen of moet je het dan later opnieuw installeren?
Ik begrijp het allemaal niet.
Hoe moet je nu weten wat te doen als je weinig verstand van computers hebt?

Als je geen verstand van auto's hebt, moet je niet zelf proberen je motor te tunen.
Als je geen verstand van computers hebt, zet je je OS op 'automatisch updaten' en wacht je gewoon de patches af. Voor dit en voor de tig andere problemen die hier langskomen.

of als je nou heel zenuwachtig wordt van dit verhaal, ga je iemand zoeken (en betalen) die wel verstand van computers heeft om een workaround , handmatige actie, bios instelling of whatever voor je op te zoeken.
04-05-2017, 18:30 door karma4
Door Anoniem: ......
Hoe moet je nu weten wat te doen als je weinig verstand van computers hebt?
Ten eerste niet in paniek raken
Ten tweede met alle het zou kunnen verhalen niet in paniek raken.
Ten derde je neemt bij je internet provider een dienst af. Die mag er zijn best voor doen om dat soort verkeer niet door te laten (firewalls routers).
Doe dan het gewone huis en tuin en keukenwerk waarbij je alert blijft op vreemde zaken. Die prins uit Nigeria met miljoenen en dat soort dingen. Daar vallen ook al die prachtige apps onder die jouw systeem "verbeteren".
04-05-2017, 18:47 door Anoniem
Karma4, dank je wel. Zal ik doen!
04-05-2017, 19:35 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb deze poorten op de firewall op mijn router al dicht gezet.

https://software.intel.com/en-us/documentation/amt-reference/manageability-ports
Ah, want je had die poorten eerst geforward naar een systeem met Intel processor?

Nee, ik snap prima dat deze poorten normaliter niet open staan. Maar het kan nooit kwaad om ze(preventief) dicht te zetten op de router. Je weet per slot van rekening nooit wat de toekomst brengt. Die meuk zit in hardware gebakken. Met iedere nieuwe versie nemen de mogelijkheden en dus kwetsbaarheden toe. Dus wat nu niet kan kan straks wellicht wel. Vandaar.

Quote:
"The slightly worrying part is the Intel ME chip can access any memory location without the host Operating System knowing anything about it, and can also run a TCP/IP server on your network interface and bypass any firewall running"

https://en.wikipedia.org/wiki/Intel_AMT_versions
04-05-2017, 22:12 door Anoniem
AMD PSP is vergelijkbaar als Intel AMT, hopelijk zonder backdoor.
04-05-2017, 22:25 door Anoniem
Door Anoniem: Quote:
"The slightly worrying part is the Intel ME chip can access any memory location without the host Operating System knowing anything about it, and can also run a TCP/IP server on your network interface and bypass any firewall running"

https://en.wikipedia.org/wiki/Intel_AMT_versions
Dat is niet "slightly worrying". Dat is "game over".

Niet dat je er als eindgebruiker veel aan zal doen, maar je weet nu wel dat als je serieus om je security geeft dat de spionnen met hun fieldcraft, met laptopjes zonder internetverbinding en al die andere paranoia, eigenlijk gewoon gelijk hebben. Dit is niet de enige reden overigens, maar wel een hele duidelijke illustratie dat we onze computers gewoon niet kunnen vertrouwen. Dat is dus iets dat je moet meewegen als je serieus over je eigen informatieveiligheid nadenkt. Tot op het punt dat als je dat niet meeweegt, je gewoon niet serieus bezig bent.
05-05-2017, 08:38 door karma4
Door Anoniem: Dit is niet de enige reden overigens, maar wel een hele duidelijke illustratie dat we onze computers gewoon niet kunnen vertrouwen. Dat is dus iets dat je moet meewegen als je serieus over je eigen informatieveiligheid nadenkt. Tot op het punt dat als je dat niet meeweegt, je gewoon niet serieus bezig bent.
Wat je niet kan vertrouwen zijn de uitspraken dat het allemaal wel goed is. Iedereen kan de code zien betrouwbare leverancier etc. Het is de TCP/IP hardware die gedeeld wordt. Alle software daarboven kan er niets meer aan doen.

Een OS op die doos een firewall in het OS of als aparte VM zullen niets kunnen zien.
Een VM host beheert elk subsysteem en voor die kun je het hetzelfde verhaal ophangen. Elk probleem in een VM host systeem zal potentieel bij alles van de guest kunnen. Hoeveel fouten zijn er in bijvoorbeeld in VMWare of in Citrix of in ...

Volg de stroom naar buiten en daar kun je met een extern apparaat wel alles zien komen.
Als je met informatieveiligheid bezig gaat moet je juist dat soort zaken meenemen.
Natuurlijk is het goedkoper om niet in aparte apparatuur te investeren. De vraag is: wat zie je dan niet.
Natuurlijk is het goedkoper om redundancy te verwijderen. De vraag is: wat is het laatste zetje totdat alles omvalt.
05-05-2017, 10:39 door ph-cofi
Door karma4: Wat je niet kan vertrouwen zijn de uitspraken dat het allemaal wel goed is. Iedereen kan de code zien betrouwbare leverancier (...)

Iedereen kan de code zien? De werking van AMT is juist een bolwerk van geslotenheid, toch? We klagen vaak over ongewenst gedrag van IoT apparaten. Er zijn inmiddels meerdere standaarden gedefinieerd waar dergelijke endpoints zich aan zouden moeten houden, zonder keurmerk of verplichtingen voor fabrikanten overigens.
Als er 1 plek is waar de CPU leveranciers vertrouwen zouden kunnen terugbrengen, dan is het door hun code openbaar te maken en inspecties/keuringen door een privacywaakhond toe te laten.

Gezien het politieke belang (spionage) zullen we dit niet gaan meemaken.

We zullen het moeten doen met logging van netwerkverkeer buiten het eigen netwerk om te kunnen zien dat ongevraagde pakketten rondsuizen. Dat wordt dus een netwerklogger tussen firewall en router in ;)
05-05-2017, 15:43 door karma4 - Bijgewerkt: 05-05-2017, 15:45
Door ph-cofi:
We zullen het moeten doen met logging van netwerkverkeer buiten het eigen netwerk om te kunnen zien dat ongevraagde pakketten rondsuizen. Dat wordt dus een netwerklogger tussen firewall en router in ;)
klopt ph-cofi. En ja openbaarheid naar inspecties/keuringen zou een fraai stap zijn. Dat betekent nog niet publieke openbaarheid op de details. dat is niet echt vereist.

Ik had ook beide opties
- gesloten software, het zit wel goed want betrouwbare leverancier.
- open software, het zit wel goed want iedereen kan de code zien.
Het leidt tot het zelfde resultaat, geen interesse om te valideren dat het echt goed zit.

Een netwerklogger zit vaak al in de externe router http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/monitor_nsel.html je zal al die data ook nog moeten gaan analyseren .... big data.
05-05-2017, 21:38 door Anoniem
Door Anoniem: Komt de update die dit lek dicht gewoon via Windows Update binnen of moet dat handmatig gedaan worden?
Kun je AMT verwijderen of deactiveren zonder verdere gevolgen of moet je het dan later opnieuw installeren?
Ik begrijp het allemaal niet.
Hoe moet je nu weten wat te doen als je weinig verstand van computers hebt?

Mischien heb je hier wat aan, kun je lezen wat je kunt doen voor er een update is.

https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075%20Mitigation%20Guide-Rev%201.1.pdf
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.